亞洲證券業與金融市場協會：公共云的好處有哪些？應如何監管？

亞洲證券業與金融市場協會發布了《為公共云規則提出的原則》。

公共云的介紹

公共云對于數據中心和CSP的職責，例如管理數據中心和基礎設施、安全、風險和合規性具有不同的影響。被稱為“共享責任模式”的FI和CSP都負責運行公共云服務所需的活動，如安全和合規性。CSP管理提供服務器、網絡和數據中心設施等要素，而FI負責客戶數據、安全、應用程序管理和用戶訪問等方面。該模型還可以擴展到共享IT控制和風險管理要求的責任。然而，這種分擔責任模式并不意味著金融機構履行其對CSP的最終責任，因為任何金融機構活動的最終責任將始終由金融機構承擔。

使用公共云為金融服務業在降低風險、降低創新、節約成本和提高生產力等方面帶來了顯著的好處。CSP的核心業務是提供高度靈活的基礎架構，以防止硬件故障，自然災害，斷電和威脅。為了實現這一目標，CSP在安全性方面進行了大量投資，并開發出一流的保護措施。CSP依賴于地理位置分散的數據中心，這些數據中心跨區域和區域彼此隔離，從而將傳染的風險和單點故障降到最低。

監管碎片化給云的采用帶來了挑戰

在許多轄區中基于規則的云采用的說明性框架，這阻礙了支持全球網絡所需的基于云的統一架構部署；跨轄區在重要性/關鍵性閾值，數據保護，加密要求，批準要求，第三方審計，風險治理，認證，監管機構對存儲在公共云上的數據的訪問要求等方面存在不同的標準和法規要求。這些區域或地方的差異和矛盾是全球性的，因此存在問題，因為它們將導致金融機構的體系結構分散，從而增加復雜性和風險。

數據本地化要求導致對云位置和CSP所有權的限制。由于對金融機構，數字銀行的要求不一致，導致缺乏公平競爭的環境。監管機構對CSP的彈性，市場集中度以及CSP對金融穩定性的潛在影響的擔憂。由于有時挑戰性的外包法規，阻礙了云的采用。

ASIFMA提出的公共云監管原則

認識到公共云原則的好處、支持正在進行的對話原則、支持技術中立和基于活動的監管原則、支持公共云需求的協調原則、支持基于原則和以結果為中心的云監管原則、公共云安排的風險評估和盡職調查，CSP原則、支持數據自由移動原則、批準和通知要求原則、集中風險原則。

文本由@云閑原創發布于三個皮匠報告網站，未經授權禁止轉載。

數據來源：《亞洲證券業與金融市場協會：為公共云規則提出的原則》。